La boutique en ligne officielle de l’Agence spatiale européenne a été piratée car elle a commencé à charger un morceau de code JavaScript qui génère une fausse page de paiement Stripe à la caisse.
Dotée d’un budget de plus de 10 milliards d’euros, l’Agence spatiale européenne (ESA) a pour mission de repousser les limites des activités spatiales en formant des astronautes et en construisant des fusées et des satellites pour explorer les mystères de l’univers.
La boutique en ligne autorisée à vendre des marchandises de l’ESA est actuellement indisponible, affichant un message indiquant qu’elle est “temporairement hors orbite.”
Le script malveillant est apparu hier sur le site de l’agence et a collecté des informations sur les clients, y compris les données de carte de paiement fournies à l’étape finale d’un achat.
La société de sécurité du commerce électronique Sansec a remarqué le script malveillant hier et a averti que le magasin semble être intégré aux systèmes de l’ESA, ce qui pourrait présenter un risque pour les employés de l’agence.
Swansea a constaté que le domaine d’exfiltration des informations portait le même nom que celui utilisé par le magasin légitime vendant des marchandises ESA, mais avait un domaine de premier niveau (TLD) différent.
Alors que la boutique officielle de l’agence européenne utilise le “esaspaceshop” dans le TLD .com, le pirate utilise le même nom dans le .domaine de premier niveau pics (c’est-à-dire esaspaceshop[.] pics), comme visible dans le code source du magasin de l’ESA:
Le script contenait du code HTML obscurci du SDK Stripe, qui chargeait une fausse page de paiement Stripe lorsque les clients essayaient de finaliser un achat.
Il convient de noter que la fausse page Stripe n’avait pas l’air suspecte, surtout en voyant qu’elle était servie depuis la boutique en ligne officielle de l’ESA.
Source Defense Research, une société de sécurité d’applications Web, a confirmé les conclusions de Sansec et capturé la fausse page de paiement Stripe en cours de chargement sur la boutique en ligne officielle de l’ESA.
Hier, Breachtrace a contacté l’ESA pour obtenir des détails sur le compromis. Avant de recevoir une réponse aujourd’hui, nous avons remarqué que la boutique en ligne ne servait plus la fausse page de paiement Stripe mais que le script malveillant était toujours visible dans le code source du site.
Dans une communication ultérieure, l’ESA a déclaré que le magasin n’est pas hébergé sur son infrastructure et qu’il ne gère pas les données qui s’y trouvent car l’agence ne gère pas les données car elle ne les possède pas.
Cela pourrait être confirmé par une simple recherche whois, qui affiche les détails complets du domaine de l’ESA (esa.int) et sa boutique en ligne, où les données de contact sont expurgées pour des raisons de confidentialité.